روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مدتی پیش ساخت باج‌افزار به صنعتی مهم تبدیل شد؛ این صنعت به همه‌چیز از سرویس پشتیبانی فنی گرفته تا مراکز مطبوعاتی و کمپین‌های تبلیغاتی مجهز بود. درست مانند هر صنعت دیگری، ساخت محصول رقابتی به پیشرفت دائمی نیازمند بود. برای مثال LockBit آخرین سری گروه‌های جرایم سایبری بود که توانایی در اتوماتیک کردن ابتلای کامپیوترهای لوکال را از طریق کنترلر دامنه تبلیغ می‌کرد. در ادامه با ما همراه شوید تا این باج‌افزار را به شما معرفی کرده و راهکارهایی برای جلوگیری از آن خدمتتان معرفی کنیم.

LockBit از مدل RaaS[1] پیروی می‌کند و به کلاینت‌هایش (همان مهاجمین واقعی) زیرساخت و بدافزار داده و سهمی از باج را نیز در ازای آن دریافت می‌نماید. نفوذ به شبکه اینترنتی قربانی مسئولیت کنتراکتور است و تا جایی که به توزیع این باج‌افزار در کل شبکه مربوط می‌شود، LockBit فناوری بسیار جالبی را طراحی کرده است.

توزیع LockBit 2.0

بعد از اینکه مهاجمین به شبکه دسترسی پیدا می‌کنند و به کنترلر دامنه می‌رسند، روی آن بدافزار خود را اجرا می‌کنند و خط‌مشی‌های جدید گروه کاربری درست می‌کنند که سپس خودکار به هر دستگاه روی شبکه تحمیل می‌شود. این خط‌مشی‌ها ابتدا فناوری امنیتی درون‌سازه‌ایِ سیستم‌عامل را غیرفعال می‌کند. سایر سیاست‌ها سپس یک تسک زمان‌بندی‌شده را روی همه ماشین‌های ویندوزی (برای اجرای فایل قابل‌اجرای باج‌افزار) ایجاد می‌کنند. به گزارش Bleeping Computer، محقق ویتالی کرمز می‌گوید این باج‌افزار برای اجرای درخواست‌های Lightweight Directory Access Protocol (LDAP) برای دریافت فهرستی از کامپیوترها از Windows Active Directory API استفاده می‌کند. سپس LockBit 2.0User Account Control (UAC) را دور می‌زند و به آرامی اجرا می‌شود؛ بدون اینکه هیچ هشداری را روی دستگاهی که رمزگذاری‌شده مورد هدف قرار دهد. ظاهراً این نشان‌دهنده‌ی توزیع سریع این بدافزار از طریق سیاست‌های گروه کاربر است. افزون بر این، LockBit 2.0 به طرز عجیبی یادداشت‌های باج را ارسال می‌کند: با پرینت کردن یادداشت روی همه پرینترهای متصل به شبکه!

راهکارهای امنیتی

در نظر داشته باشید که یک کنترلر دامنه یک سرور ویندوزی واقعی است و در نتیجه به محافظت نیاز دارد. Kaspersky Security for Windows Server که بیشتر راهکارهای امنیتی اندپوینت برای کسب و کارها آن را همراهی می‌کنند از سرورهایی که ویندوز رویشان اجرا می‌شود در مقابل مدرن‌ترین تهدیدها محافظت می‌کند. این را هم بگوییم که باج‌افزاری که در کل سیاست‌های گروه توزیع می‌شود نشان‌دهنده آخرین مرحله یک حمله است. فعالیت مخرب باید بسیار زودتر از اینها ظاهر شود؛ برای مثال زمانیکه مهاجمین ابتدا وارد شبکه شدند یا اقدام به سرقت کنترلر دامنه کردند. راهکارهای Managed Detection and Response مشخصاً در شناسایی علایم این نوع حمله مؤثر واقع می‌شوند. مهمتر اینکه، مجرمان سایبری اغلب از تکنیک‌های مهندسی اجتماعی و ایمیل فیشینگ برای دریافت دسترسی اولیه استفاده می‌کنند. برای جلوگیری از به دام افتادن کارمندان خود آن‌ها را در زمینه امنیت سایبری بیدار کنید و در این خصوص بدان‌ها آموزش دائمی دهید.

[1] Ransomware as a Service

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.